ニュース
NTT Com、3月からSIEMエンジンを採用したセキュリティ運用基盤を導入
総合リスクマネジメントサービスをグローバル展開へ
(2013/2/8 21:46)
NTTコミュニケーションズ株式会社(以下NTT Com)、セキュリティ事業を展開する海外子会社の独Integralis社およびスウェーデンSecode社は、NTTのセキュアプラットフォーム研究所と共同で、標的型攻撃などセキュリティリスクの検知・分析機能を強化した「セキュリティ情報・イベント管理エンジン(SIEMエンジン)」を開発し、新たなセキュリティ運用基盤として2013年3月より導入すると発表した。
NTT Comグループでは、新基盤のもと、あらゆるセキュリティリスクの調査・改善・モニタリングを総合的にコンサルティング・運用する「総合リスクマネジメントサービス」を2013年3月の米国および日本を皮切りに、グローバル展開を順次拡大する。
価格は、セキュリティ防御と侵入防御といった現行と同様の基本サービスであれば現行の半額程度、分析官による高度な分析やリスク管理、改善提案なども含めた高度なサービスでは、現行のセキュリティ防御と新入防予よりやや高い程度となる見込み。
従来型と異なる標的型攻撃に見られる攻撃手法
NTTコミュニケーションズ株式会社 経営企画部 マネージメントセキュリティサービス推進室長 与沢和紀氏は、最近のセキュリティ脅威の傾向として標的型攻撃について解説。従来の不特定多数を標的とした脅威に比べて、標的型攻撃は特定の組織や特定人物に狙いを絞り、金銭的価値のある情報を奪取しようとするもので、事前のスパイ活動により興味を引くための情報を収集し、需要な関係者の実名を名乗ったり、実在するメールアドレスや興味を引くタイトルなどでメールを送信、添付したマルウェアをクリックさせバックドアを開け、感染マシンに情報を継続的に送信させるといった手法を用いる。与沢氏によれば、こうしたメールは日本語がちょっとおかしいことが多いという。
内閣官房など12の政府機関約6万名を対象に行われた標的型攻撃の訓練では、標的型攻撃と同様のメールを2回送信。1回目は添付ファイルを開封させるもので、2回目はURLリンクをクリックさせるものだが、1回目の添付ファイル開封率は平均10.1%、2回目のURLリンクをクリックした率は平均3.1%。添付ファイルを開いたり、URLクリックした職員のうち20%は何も考えず、無意識に開封したりクリックしていたという。
こうした標的型攻撃が成功する理由として与沢氏は、「攻撃者はターゲットのネットワークを事前調査し、ゼロディアタックや未知の脆弱性でセキュリティソフトが検知できないマルウェアを送付。セキュリティソフトをすり抜けた標的型攻撃のメールは3~10%の確率で開封される。つまり、攻撃者は数百通のメールを出せば、目的の情報の入手が可能ということになる」と解説。3~10%の確率ですり抜けるということは、10通~33通送れば1人はクリックする計算になり、数百人よりもっと少ないメールアドレスしか持っていなくても攻撃に成功する確率があるとした。
こうした防ぎにくいセキュリティ事故による企業へのビジネスインパクトは大きく、サービス停止によるビジネス機会の喪失、情報漏えいによる損害賠償、社会的な信用失墜による経営危機などの影響があるとした。情報漏えいが明らかになった場合は、原因を解明するためサービスなどを停止する必要があるが、サービス停止した場合に回復までに要する時間は平均24日だとJNSAの調査結果を上げた。また、情報漏えいによる損害賠償額は2011年上期の平均で1件あたり7329万円かかっているという。
また与沢氏は、従業員1万2000人規模、ネットワーク帯域1Gbps、日本および海外10カ国へ展開している企業での例を上げた。この企業では、普通に考えられるセキュリティ対策はすべて実施済みで、ファイアウォール、IDS/IPS、Webサイトとの通信における脅威を検知し、防御するウイルス対策とURLフィルタリングを使用。メールセキュリティでは、ウイルス対策ソフト、スパムメール対策などを入れていた。
そこへ、新たにゼロディ攻撃、標的型攻撃に有効なサービスを追加提供したところ、1カ月間でマルウェア感染PCが12台、うちマルウェア配信サイトへのアクセス4件、企業が禁止しているTorやP2Pプロトコルの実行実績も検出した。また、マルウェア添付メル2500件660種類が検出され、特定ユーザー6人で10件以上受信していたという。
新たに導入したのは、通信状況やアプリケーションの通信状況を分析し、未知の脅威、潜在リスクの有無を可視化するプロファイリング、Webサイトとの通信における不正な通信やマルウェアを検知したり、スパムメールやメール添付型マルウェアといった脅威を解析・検知するファイル検査サービス。
標的型攻撃ではバックドアを開けてもすぐに活動せず、場合によっては数カ月潜伏ののちに動き出すなど手口が巧妙で、いったん入り口の防御をすり抜けてバックドアが開けられてしまうとその後の検知が難しいが、通信状況を分析することで、未知の脅威で感染した場合も検知が可能になるという。
NTT Comのマネージドセキュリティサービスの特長
与沢氏は、マネージドセキュリティサービスの特長として、(1)トータルセキュリティサービス運用、(2)多層セキュリティ・マネジメント/フルレイヤー・セキュリティ対策、(3)グローバルに提供可能なセキュリティ・ソリューションの3つを上げた。
(1)のトータルセキュリティでは、ネットワーク、クラウド、オンプレミスのセキュリティを一元的にマネジメントでき、国内外シームレスなワンストップオペレーション体制により、情報システムの可用性およびセキュリティの一元管理を行なっている、
また、(2)多層セキュリティ・マネジメント/フルレイヤー・セキュリティ対策では、データ、電子メール、Webアクセス、アプリケーション/データベース、サーバー、ネットワーク、エンドポイント(PCおよびモバイル)セキュリティの各レイヤーに対して、不正侵入の検知・防御、拡散防止、異常振るまい検知、不正サイトアクセス防止、情報漏えい防止まで多層的に防御することにより、セキュリティリスクを最小化することができると説明した。
新セキュリティ運用基盤「SIEM」の概要
「SIEM」は「Security Information Management(SIM、セキュリティ情報)」と「Security Event Management(SEM、イベント管理)」を組み合わせた造語。SIEMソリューションを提供するベンダーは米CAや米シスコなど複数存在する。
NTT Comの提供するSIEMは、NTT Com、Integralis社、Secode社の持つノウハウとNTTセキュアプラットフォーム研究所の先端技術を融合し開発したもの。独自開発のSIEMエンジンを含む新たなセキュリティ運用基盤により、セキュリティに関するイベントおよびログの自動分析、判定、報告を行う。自動化することでエンジニアの処理よりも高速で低コストな処理を実現。
自動処理だけでなく、オペレーションセンターには専門の高度リスク分析官が常駐。不審なイベントとログを分析し、深刻度を判定するという人力チェックも合わせて行う。
SIEMにより、市販各種セキュリティ関連製品では検知できない未知の脅威についても、独自ノウハウを用いた相関分析機能にて対応可能で、また送られてきたファイルは仮想マシンのSandox上で開いて実行し、不審な動作の有無をチェックすることで、グレー判定のファイルを解析することができるという。
また、「相関通信時系列分析エンジン」を採用。これは、ネットワーク機器から得られるログを攻撃の時系列に見られる特徴を踏まえて分析し、監視対象における感染端末や、情報漏えいに関わる不正通信、悪性サイトの候補を抽出。長期間にわたるログの分析により、発見が難しい潜伏タイプの攻撃も発見できるとした。
「ブラックリスト共起分析エンジン」も搭載。マルウェア感染端末の通信に見られる共通性に着目した技術で、悪性サイトと共通性が高いサイトを新規の悪性サイトとして抽出。ログを元に新しいブラックリストを自動的に拡張するというものだ。
NTTセキュアプラットフォーム研究所の独自データベースも使用されている。おとりシステム(ハニーポッド)と解析技術によりサイバー攻撃の根源であるマルウェア幹線に関連する悪性URL/IPアドレスをリスト化。最新の攻撃を把握した、正確かつ高精度なブラックリストを持っているという。
世界のセキュリティ研究機関とも連携したグローバルなオペレーション
SIEMのグローバルでの運用については、大量ログの収集蓄積機能、SIEMエンジンおよび各種データベースをパッケージ化して、新たなセキュリティ運用基盤(PoD:Production on Demand)を構成。各国や地域における、重要情報の国外転送防止などの寄生に対応するため、PoDは各国に配置する。与沢氏によれば、EU、とくにドイツなどは重要情報の持ち出し規制が厳しいという。各国のPoDには、国情に応じたコンプライアンス分析などのための個別データベースを保有する。
セキュリティオペレーションについては、グローバルリスクオペレーション(GROC:Global Risk Operation Center)へ発展させ、3段階のレベルに応じた効率的なオペレーション体制を作る。
レベル1のサービスデスクは各国に置き、レベル2のセキュリティイベント監視、サービス可用性監視、変更管理についてはマレーシアの拠点で主に担当。レベル3の高度セキュリティ分析やリスクマネジメントについては、米国、北欧、日本でFollow The Sun体制(太陽を追いかけるシステム運用=24時間システム運用)を組む。
レベル2についてはマレーシア拠点のほか、日本、米国、シンガポール、英国、スウェーデン、ノルウェーで各リージョンの特別ユーザー対応を行う。
GROCでは、OCNをはじめとした国内外のネットワークやカスタマーサービスセンターと情報共有、相互連携による高度なサービス体制を構築。24時間365日の監視やセキュリティ情報の提供やインシデント対応を行う。NTTセキュアプラットフォーム研究所のほか、トレンドマイクロ、シスコ、マカフィー、X FORCE、フォーティネットなどのセキュリティ専門研究・調査機関とも連携していく。
サービスイメージと料金
総合リスクマネジメントサービスは、コンサルティングから改善案の立案、導入、継続的モニタリングを提供。ギャップ分析や改善の優先順位の立案などをワンストップで提供するものになるという。
価格的には、SIEMエンジン自動化などにより、ファイアウォールと侵入防御装置を組み合わせた現在のスタンダードなサービスであれば、NTT Comや競合他社の現行価格の半額程度になるとしている。高度な分析や対応を必要とするサービスであれば、前出の現行コストに比べて若干高くなる程度を想定しているとした。
